עדכון OpenSSL 1.1.1j, wolfSSL 4.7.0 ו-LibreSSL 3.2.4

זמינה מהדורת תחזוקה של ספריית ההצפנה OpenSSL 1.1.1j, אשר מתקנת שתי נקודות תורפה:

• CVE-2021-23841 הוא הפניית מצביע NULL בפונקציה X509_issuer_and_serial_hash(), שיכולה לקרוס יישומים שקוראים לפונקציה זו לטפל בתעודות X509 עם ערך שגוי בשדה המנפיק.
• CVE-2021-23840 הוא הצפת מספרים שלמים בפונקציות EVP_CipherUpdate, EVP_EncryptUpdate ו-EVP_DecryptUpdate שיכולה לגרום להחזרת ערך של 1, המצביע על פעולה מוצלחת והגדרת הגודל לערך שלילי, מה שעלול לגרום ליישומים לקרוס או לשבש התנהגות נורמלית.
• CVE-2021-23839 הוא פגם ביישום הגנת החזרה לאחור לשימוש בפרוטוקול SSLv2. מופיע רק בסניף הישן 1.0.2.

כמו כן פורסמה השחרור של חבילת LibreSSL 3.2.4, במסגרתה פרויקט OpenBSD מפתח מזלג של OpenSSL שמטרתו לספק רמת אבטחה גבוהה יותר. המהדורה בולטת בהחזרה לקוד אימות התעודה הישן ששימש ב-LibreSSL 3.1.x עקב שבירה באפליקציות מסוימות עם bindings כדי לעקוף באגים בקוד הישן. בין החידושים בולטת הוספת הטמעות של רכיבי היצואן וה-autochain ל-TLSv1.3.

בנוסף, הייתה מהדורה חדשה של ספריית ההצפנה הקומפקטית wolfSSL 4.7.0, מותאמת לשימוש במכשירים משובצים עם משאבי מעבד וזיכרון מוגבלים, כגון מכשירי האינטרנט של הדברים, מערכות בית חכם, מערכות מידע לרכב, נתבים וטלפונים ניידים. . הקוד כתוב בשפת C ומופץ תחת רישיון GPLv2.

הגרסה החדשה כוללת תמיכה ב-RFC 5705 (Keying Material Exporters for TLS) ו-S/MIME (Secure/Multipurpose Internet Mail Extensions). נוסף דגל "--enable-reproducible-build" כדי להבטיח בנייה ניתנת לשחזור. ה-API של SSL_get_verify_mode, X509_VERIFY_PARAM API ו-X509_STORE_CTX נוספו לשכבה כדי להבטיח תאימות עם OpenSSL. מיושם מאקרו WOLFSSL_PSK_IDENTITY_ALERT. נוספה פונקציה חדשה _CTX_NoTicketTLSv12 כדי להשבית כרטיסי הפעלה של TLS 1.2, אך לשמור אותם עבור TLS 1.3.

מקור: OpenNet.ru